Come vedere se qualcuno entra in remoto nel mio pc

[LiricoN]

Ragazzi ho un dubbio e vorrei togliermelo in "quattro e quattro otto".
Mi è sembrato, da un po di tempo, che qualcuno sia entrato nel mio sistema operativo in remoto. Ho letto altri articoli a riguardo e lì c'era scritto che dovevi fare NETSTAT -NAO sul promt dei comandi, io l'ho fatto e mi è uscito questo:

codice:

Connessioni attive

  Proto  Indirizzo locale          Indirizzo esterno        Stato           P
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       712
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:554            0.0.0.0:0              LISTENING       3604
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       460
  TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING       920
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       1024
  TCP    0.0.0.0:1029           0.0.0.0:0              LISTENING       532
  TCP    0.0.0.0:1043           0.0.0.0:0              LISTENING       508
  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:3260           0.0.0.0:0              LISTENING       888
  TCP    0.0.0.0:3261           0.0.0.0:0              LISTENING       888
  TCP    0.0.0.0:5357           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:10243          0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:42101          0.0.0.0:0              LISTENING       2480
  TCP    127.0.0.1:1033         0.0.0.0:0              LISTENING       2612
  TCP    127.0.0.1:42004        0.0.0.0:0              LISTENING       2480
  TCP    127.0.0.1:42006        0.0.0.0:0              LISTENING       2480
  TCP    192.168.1.3:139        0.0.0.0:0              LISTENING       4
  TCP    192.168.1.3:8320       81.52.140.51:80        ESTABLISHED     4388
  TCP    192.168.1.3:8749       173.194.35.159:80      ESTABLISHED     4388
  TCP    192.168.1.3:8757       173.194.35.144:80      ESTABLISHED     4388
  TCP    192.168.1.3:8762       173.194.35.26:80       ESTABLISHED     4388
  TCP    192.168.1.3:8779       173.194.35.159:443     ESTABLISHED     4388
  TCP    192.168.1.3:8808       87.248.114.140:80      ESTABLISHED     4388
  TCP    192.168.1.3:8832       217.12.10.36:80        ESTABLISHED     4388
  TCP    192.168.1.3:8855       204.11.109.64:80       ESTABLISHED     4148
  TCP    192.168.1.3:8856       204.11.109.64:80       ESTABLISHED     4148
  TCP    192.168.1.3:8874       209.85.148.95:443      ESTABLISHED     4388
  TCP    192.168.1.3:8875       173.194.35.28:80       ESTABLISHED     4388
  TCP    192.168.1.3:8876       173.194.35.25:80       ESTABLISHED     4388
  TCP    192.168.1.3:8877       173.194.35.9:80        ESTABLISHED     4388
  TCP    192.168.1.3:8878       173.194.35.1:80        ESTABLISHED     4388
  TCP    192.168.1.3:8879       173.194.35.9:80        ESTABLISHED     4388
  TCP    192.168.1.3:8880       173.194.35.5:80        ESTABLISHED     4388
  TCP    192.168.1.3:8897       173.194.35.27:80       ESTABLISHED     4388
  TCP    192.168.1.3:8898       2.18.127.139:80        ESTABLISHED     4388
  TCP    192.168.1.3:8911       69.171.234.21:80       ESTABLISHED     4388
  TCP    192.168.1.3:8915       69.171.234.21:443      ESTABLISHED     4388
  TCP    192.168.1.3:8922       176.31.210.105:80      CLOSE_WAIT      2612
  TCP    [::]:135               [::]:0                 LISTENING       712
  TCP    [::]:445               [::]:0                 LISTENING       4
  TCP    [::]:554               [::]:0                 LISTENING       3604
  TCP    [::]:1025              [::]:0                 LISTENING       460
  TCP    [::]:1026              [::]:0                 LISTENING       920
  TCP    [::]:1027              [::]:0                 LISTENING       1024
  TCP    [::]:1029              [::]:0                 LISTENING       532
  TCP    [::]:1043              [::]:0                 LISTENING       508
  TCP    [::]:2869              [::]:0                 LISTENING       4
  TCP    [::]:5357              [::]:0                 LISTENING       4
  TCP    [::]:10243             [::]:0                 LISTENING       4
  UDP    0.0.0.0:3702           *:*                                    2024
  UDP    0.0.0.0:3702           *:*                                    1132
  UDP    0.0.0.0:3702           *:*                                    1132
  UDP    0.0.0.0:3702           *:*                                    2024
  UDP    0.0.0.0:5004           *:*                                    3604
  UDP    0.0.0.0:5005           *:*                                    3604
  UDP    0.0.0.0:5355           *:*                                    1320
  UDP    0.0.0.0:42005          *:*                                    2480
  UDP    0.0.0.0:49152          *:*                                    2024
  UDP    0.0.0.0:62253          *:*                                    1132
  UDP    0.0.0.0:63448          *:*                                    1132
  UDP    127.0.0.1:1900         *:*                                    2024
  UDP    127.0.0.1:55961        *:*                                    2024
  UDP    127.0.0.1:57031        *:*                                    4148
  UDP    192.168.1.3:137        *:*                                    4
  UDP    192.168.1.3:138        *:*                                    4
  UDP    192.168.1.3:1900       *:*                                    2024
  UDP    192.168.1.3:55960      *:*                                    2024
  UDP    [::]:3702              *:*                                    1132
  UDP    [::]:3702              *:*                                    2024
  UDP    [::]:3702              *:*                                    2024
  UDP    [::]:3702              *:*                                    1132
  UDP    [::]:5004              *:*                                    3604
  UDP    [::]:5005              *:*                                    3604
  UDP    [::]:5355              *:*                                    1320
  UDP    [::]:49153             *:*                                    2024
  UDP    [::]:62254             *:*                                    1132
  UDP    [::]:63449             *:*                                    1132
  UDP    [::1]:1900             *:*                                    2024
  UDP    [::1]:55959            *:*                                    2024
  UDP    [fe80::a8d6:7331:14fb:6e0d%11]:1900  *:*
     2024
  UDP    [fe80::a8d6:7331:14fb:6e0d%11]:55958  *:*
      2024

Dato che non so cosa significano questi dati, potete dirmi se c'è o non c'è qualcuno in remoto nel mio pc? E se ci sta qualcuno come posso risolvere il problema?

Vi ringrazio in anticipo, LiricoN.

[R16]

Ciao.

potete dirmi se c'è o non c'è qualcuno in remoto nel mio pc?

A mio avviso c'è un indirizzo esterno sospetto.
Consiglio una scansione con HijackThis:
http://www.filehippo.com/it/download_hijackthis/
Posta il log.

Poi una scansione con Combofix:
Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obbligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista o Seven: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

Per postare i log:

Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[LiricoN]

Hijack all'inizio mi dice questo:
http://i.imgur.com/zy1kr.png

poi non mi fa salvare la scansione e quindi ho dovuto fare le screen:
http://i.imgur.com/kQjB5.png
http://i.imgur.com/jceBt.png
http://i.imgur.com/aN7Nf.png

Log COMBOFIX:
ComboFix.txt

[vnt54]

A parte qualche file e librerie che potrebbero essere sospette come potrebbero essere legittimi di software installati nel tuo pc,di strano c'è l'indirizzo ip 176.31.229.24,176.31.229.25
che corrisponde al sito in fondo di cui francamente non vedo il nesso a meno che
tu abbia nel pc qualche spyware o virus.
il sito corrispondente all'inidrizzo ip ci dui sopra è questo
h**p://www.ovh.com
quindi farei una scansione con superantispyware e una scnasione con l'antivirus.

[mirkomarko]

essendo Ovh un hosting il nesso c' e' perché se guardi bene non e' Ovh a collegarsi al Pc ma il Pc a collegarsi a Ovh quindi potrebbe darsi che accede tramite Ftp ad Ovh...Lirico hai un qualche Host su Ovh???

[vnt54]

Aspettiamo la risposta...

[LiricoN]

No, non ho nessuno host (non so manco che cosa sono) , comunque la scansione con l'antivirus l'ho fatta l'altro ieri e mi ha dato 8 file infetti, l'antispyware non ce l'ho al momento.

[R16]

Ciao.

Clicca sull'icona di HijackThis con il tasto destro e scegli "Esegui come Amministratore ".

Metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked ":

TUTTE le voci corrispondenti al 017 .


Poi:

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

codice:

KillAll::

Driver::
PowerOffer Service
ServUpdater

File::
c:\users\Public\Documents\AppData\PoApp\PLauncher.exe
c:\users\Pasqualina\AppData\Local\PosService\Pos.exe
c:\users\Pasqualina\AppData\Local\ServUpdater\ServiceUpd.exe

Folder::
c:\users\Public\Documents\AppData\PoApp
c:\users\Pasqualina\AppData\Local\PosService
c:\users\Pasqualina\AppData\Local\ServUpdater

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PosService"=-

Firefox::
FF - prefs.js: browser.startup.homepage - hxxp://search.findeer.com/

DDS::
uStart Page = hxxp://search.findeer.com
mStart Page = hxxp://search.findeer.com

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
N.B:
Se viene visualizzato il seguente errore: Operazione non valida tentata su una chiave di registro che è stato contrassegnato per l'eliminazione, sarà necessario riavviare il computer che di norma risolve questo problema.

[LiricoN]

Ecco qui: ComboFix.txt

Ora mi dici cosa ho fatto? Abbiamo risolto il problema? xD

[R16]

Abbiamo risolto il problema?

Non ancora.
Riapri HijackThis, e dovresti trovare ancora l'intruso che usa la tua connessione, nelle voci 017 .
In particolare elimina la voce a cui si riferiscono questi DNS:
176.31.229.24,176.31.229.25

Poi cambia la pagina iniziale fi Firefox. (search.findeer.com è un ottimo veicolo di infezioni)

Per ultimo, fai questa scansione con OTL:
Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.



Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.